Självstudiekurs: Konfigurera HTTPS på en anpassad Azure CDN-domän

Artikel
11/04/2021
12 minuter för att läsa

Den här självstudien visar hur du aktiverar HTTPS-protokollet för en anpassad domän som är associerad med en Azure CDN-slutpunkt.

HTTPS-protokollet på din anpassade domän (till exempel https: /www.contoso.com) ser till att dina känsliga data levereras / säkert via TLS/SSL. När webbläsaren är ansluten via HTTPS verifierar webbläsaren webbplatsens certifikat. Webbläsaren verifierar att den har utfärdats av en giltig certifikatutfärdare. Den här processen ger trygghet och skyddar dina webbprogram mot attacker.

Azure CDN stöder HTTPS i CDN-slutpunktens värdnamn som standard. Om du skapar en CDN-slutpunkt som till exempel https://contoso.azureedge.net aktiveras HTTPS automatiskt.

Några viktiga attribut i den anpassade HTTPS-funktionen är:

Ingen extra kostnad: Det finns inga kostnader för certifikatförvärv eller certifikatförnyelse och ingen extra kostnad för HTTPS-trafik. Du betalar bara för utgående trafik (GB) från CDN.
Enkel aktivering: enklicksetablering är tillgänglig från Azure Portal. Du kan också aktivera funktionen med REST API eller andra utvecklingsverktyg.
Fullständig certifikathantering är tillgänglig:
- All anskaffning och hantering av certifikat hanteras åt dig.
- Certifikat etableras automatiskt och förnyas innan de upphör att gälla.

I den här guiden får du lära dig att:

Aktivera HTTPS-protokollet på din anpassade domän.
Använda ett CDN-hanterat certifikat
Använda ditt eget certifikat
Verifiera domänen
Inaktivera HTTPS-protokollet på din anpassade domän.

Förutsättningar

Anteckning

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Innan du kan slutföra stegen i den här självstudien måste du skapa en CDN profil och minst en CDN slutpunkt. Mer information finns i Snabbstart: Skapa en Azure CDN-profil och CDN-slutpunkt.

Associera en Azure CDN anpassad domän på din CDN slutpunkt. Mer information finns i Självstudie: Lägga till en anpassad domän i din Azure CDN slutpunkt.

Viktigt

CDN-hanterade certifikat är inte tillgängliga för rotdomäner eller toppdomäner. Om din Azure CDN domän är en rotdomän eller toppdomän måste du använda funktionen Bring your own certificate (Ta med ditt eget certifikat).

TLS/SSL-certifikat

Om du vill aktivera HTTPS Azure CDN en anpassad domän använder du ett TLS/SSL-certifikat. Du väljer att använda ett certifikat som hanteras av Azure CDN eller använder ditt certifikat.

Alternativ 1 (standard): Aktivera HTTPS med ett CDN-hanterat certifikat
Alternativ 2: Aktivera HTTPS med ditt eget certifikat

Azure CDN hanterar certifikathanteringsuppgifter, till exempel anskaffning och förnyelse. När du har aktiverat funktionen startar processen omedelbart.

Om den anpassade domänen redan har mappats CDN slutpunkten krävs ingen ytterligare åtgärd. Azure CDN behandlar stegen och slutför din begäran automatiskt.

Om din anpassade domän mappas någon annanstans använder du e-post för att verifiera ditt domänägarskap.

Följ dessa steg om du vill aktivera HTTPS på en anpassad domän:

Gå till Azure Portal för att hitta ett certifikat som hanteras av Azure CDN. Sök efter och välj CDN profiler.
Välj din profil:
- Azure CDN Standard från Microsoft
- Azure CDN Standard från Akamai
- Azure CDN Standard från Verizon
- Azure CDN Premium från Verizon
I listan med CDN-slutpunkter väljer du slutpunkten som innehåller din anpassade domän.

Sidan Slutpunkt visas.
I listan med anpassade domäner väljer du den anpassade domänen som du vill aktivera HTTPS för.

Sidan Anpassad domän visas.
Under certifikathanteringstyp väljer du CDN-hanterat.
Välj På för att aktivera HTTPS.
Fortsätt till Verifiera domänen.

Viktigt

Det här alternativet är endast tillgängligt med Azure CDN från Microsoft och Azure CDN från Verizon-profiler.

Du kan använda ditt eget certifikat för att aktivera HTTPS. Detta görs via en integrering med Azure Key Vault där du kan lagra certifikaten säkert. Azure Front Door använder den här säkra mekanismen för att hämta certifikatet, och det krävs några extra steg. När du skapar ditt TLS/SSL-certifikat måste du skapa en fullständig certifikatkedja med en tillåten certifikatutfärdare (CA) som är en del av listan över betrodda Microsoft-certifikatutfärdare. Om du använder en icke-tillåten certifikatutfärdare kommer din begäran att avvisas. Om ett certifikat utan fullständig kedja presenteras kommer de begäranden som omfattar det certifikatet inte att fungera som förväntat. För Azure CDN från Verizon godkänns alla giltiga certifikatutfärdare.

Förbered ditt Azure Key Vault-konto och certifikat

Azure Key Vault: Du måste ha ett aktivt Azure Key Vault-konto under samma prenumeration som Azure CDN-profilen och CDN-slutpunkterna där du vill aktivera anpassad HTTPS. Skapa ett Azure Key Vault-konto om du inte redan har ett.
Azure Key Vault certifikat: Om du har ett certifikat överför du det direkt till ditt Azure Key Vault konto. Om du inte har något certifikat kan du skapa ett nytt certifikat direkt via Azure Key Vault.

Anteckning

Certifikatet måste ha en fullständig certifikatkedja med lövcertifikat och mellanliggande certifikat, och rotcertifikatutfärdaren måste vara en del av Microsofts lista över betrodda certifikatutfärdare.

Registrera Azure CDN

Registrera Azure CDN som en app i Azure Active Directory via PowerShell.

Om det behövs installerar du Azure PowerShell på den lokala datorn.

Kör följande kommando i PowerShell:

New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

Anteckning

205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 är tjänstens huvudnamn för Microsoft.AzureFrontDoor-Cdn.

New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

Secret                : 
ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, 
                            https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
ObjectType            : ServicePrincipal
DisplayName           : Microsoft.AzureFrontDoor-Cdn
Id                    : c87be08f-686a-4d9f-8ef8-64707dbd413e
Type                  :

Ge Azure CDN åtkomst till ditt nyckelvalv

Ge Azure CDN behörighet att komma åt certifikaten (hemligheterna) på ditt Azure Key Vault-konto.

I nyckelvalvet i avsnittet Inställningar väljer du Åtkomstprinciper. Välj + Lägg till åtkomstprincip i den högra rutan:
På sidan Lägg till åtkomstprincip väljer du Ingen vald bredvid Välj huvudnamn. På sidan Huvudnamn anger du 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Välj Microsoft.AzureFrontdoor-Cdn. Välj Välj:
I Välj huvudnamn söker du efter 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 och väljer Microsoft.AzureFrontDoor-Cdn. Välj Välj.
Välj Certifikatbehörigheter. Markera kryssrutorna för Hämta och Lista för att CDN behörighet att hämta och lista certifikaten.
Välj Hemliga behörigheter. Markera kryssrutorna för Hämta och Lista för att CDN behörighet att hämta och lista hemligheterna:
Välj Lägg till.

Anteckning

Azure CDN har nu åtkomst till nyckelvalvet och certifikaten (hemligheterna) som lagras i nyckelvalvet. Alla CDN som skapas i den här prenumerationen har åtkomst till certifikaten i det här nyckelvalvet.

Välj det certifikat som ska distribueras av Azure CDN

Gå tillbaka till Azure CDN-portalen och välj den profil och CDN-slutpunkt som du vill aktivera anpassad HTTPS för.
I listan med anpassade domäner väljer du den anpassade domänen som du vill aktivera HTTPS för.

Sidan Anpassad domän visas.
Under Certifikathanteringstyp väljer du Använd mitt eget certifikat.
Välj ett nyckelvalv, certifikat/hemlighet och version av certifikat/hemlighet.

Azure CDN visar följande information:
- Nyckelvalvskonton för ditt prenumerations-ID.
- Certifikaten/hemligheterna under det valda nyckelvalvet.
- Tillgängliga certifikat-/hemliga versioner.
Anteckning

För att certifikatet ska roteras automatiskt till den senaste versionen när en nyare version av certifikatet är tillgänglig i din Key Vault anger du den senaste versionen av certifikatet/hemligheten. Om du väljer en specifik version måste du välja den nya versionen manuellt för certifikatrotation. Det tar upp till 24 timmar innan den nya versionen av certifikatet/hemligheten distribueras.
Välj På för att aktivera HTTPS.
När du använder certifikatet krävs inte domänverifiering. Fortsätt till Vänta på spridning.

Verifiera domänen

Om du har en anpassad domän som används mappad till din anpassade slutpunkt med en CNAME-post eller om du använder ett eget certifikat fortsätter du till Anpassad domän mappad till din CDN slutpunkt.

Om CNAME-posten för slutpunkten inte längre finns eller om den innehåller underdomänen cdnverify fortsätter du annars till Anpassad domän som inte är mappadtill din CDN slutpunkt .

Den anpassade domänen har mappats till CDN-slutpunkten med en CNAME-post

När du lade till en anpassad domän i slutpunkten skapade du en CNAME-post i DNS-domänregistratorn som mappats till CDN slutpunktens värdnamn.

Om CNAME-posten fortfarande finns kvar och inte innehåller cdnverify-underdomänen använder DigiCert CA:n den för att automatiskt verifiera ägarskapet för din anpassade domän.

Om du använder ett eget certifikat krävs inte domänverifiering.

CNAME-posten ska ha följande format:

Namn är ditt anpassade domännamn.
Värdet är CDN värdnamnet för slutpunkten.

Namn	Typ	Värde
<www.contoso.com>	CNAME	contoso.azureedge.net

Mer information om CNAME-poster finns i Skapa CNAME DNS-posten.

Om CNAME-posten har rätt format verifierar DigiCert automatiskt ditt anpassade domännamn och skapar ett certifikat för din domän. DigitCert skickar ingen bekräftelse via e-post och du behöver inte godkänna din begäran. Certifikatet är giltigt i ett år och kommer att nytt automatiskt innan det upphör att gälla. Fortsätt till Vänta på spridning.

Automatisk verifiering tar vanligtvis några timmar. Om du inte ser din domän verifierad inom 24 timmar öppnar du en supportbiljett.

Anteckning

Om du har en CAA-post (Certificate Authority Authorization) hos DNS-providern måste den innehålla DigiCert som giltig certifikatutfärdare. En CAA-post gör att domänägare kan ange med sina DNS-provider vilka certifikatutfärdare som är auktoriserade att utfärda certifikat för deras domän. Om en certifikatutfärdare mottar en order för ett certifikat för en domän som har en CAA-post och den certifikatutfärdaren inte finns med i listan över auktoriserade utfärdare hindras certifikatufärdaren att utfärda certifikatet till den domänen eller underdomänen. Information om hur du hanterar CAA poster finns i Hantera CAA-poster. Hjälpverktyg för CAA-poster finns i CAA Record Helper.

Den anpassade domänen mappas inte till din CDN slutpunkt

Anteckning

Om du använder Azure CDN från Akamai ska följande CNAME konfigureras för att aktivera automatisk domänverifiering. "_acme-utmaning. < custom domain hostname > -> CNAME -> < custom domain hostname > .ak-acme-challenge.azureedge.net"

Om CNAME-posten innehåller underdomänen cdnverify följer du resten av anvisningarna i det här steget.

DigiCert skickar ett verifieringsmeddelande till följande e-postadresser. Kontrollera att du kan godkänna direkt från någon av följande adresser:

admin@your-domain-name.com
administrator@your-domain-name.com
webmaster@your-domain-name.com
hostmaster@your-domain-name.com
postmaster@your-domain-name.com

Du bör få ett e-postmeddelande om några minuter så att du kan godkänna begäran. Om du använder ett skräppostfilter lägger du till i verification@digicert.com listan över tillåtna. Kontakta Microsoft-supporten om du inte får ett e-postmeddelande inom 24 timmar.

Domänverifieringsmeddelande

När du väljer godkännandelänken dirigeras du till följande formulär för godkännande online:

Domänverifieringsformulär

Följ instruktionerna i formuläret. Du har två verifieringsalternativ:

Du kan godkänna alla framtida order som placerats via samma konto för samma rotdomän, till exempel contoso.com. Den här metoden rekommenderas om du planerar att lägga till andra anpassade domäner för samma rotdomän.
Du kan bara godkänna det specifika värdnamn som används i den här begäran. Ett annat godkännande krävs för senare begäranden.

Efter godkännandet slutför DigiCert skapandet av certifikatet för det anpassade domännamnet. Certifikatet är giltigt i ett år och kommer att nytt automatiskt innan det upphör att gälla.

Vänta på spridning

När domännamnet har verifierats kan det ta upp till 6–8 timmar innan HTTPS-funktionen för den anpassade domänen aktiveras. När processen är klar ändras den anpassade HTTPS-statusen i Azure Portal till Aktiverad. De fyra åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen är nu klar att använda HTTPS.

Dialogrutan Aktivera HTTPS

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du aktiverar HTTPS. När du har aktiverat HTTPS visas de fyra åtgärdsstegen i dialogrutan Anpassad domän. När varje steg blir aktivt visas annan delstegsinformation under steget allt eftersom det fortskrider. Alla understeg utförs inte. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdssteg	Information om åtgärdsundersteg
1 Skicka begäran	Begäran skickas
	Din HTTPS-begäran skickas.
	Din HTTPS-begäran har skickats.
2 Domänverifiering	Domänen verifieras automatiskt om den är CNAME-mappad till den CDN slutpunkten. I annat fall skickas en verifieringsbegäran till den e-postadress som står angiven i domänens registreringspost (WHOIS-registrant).
	Domänägarskapet har verifierats och godkänts.
	Begäran om verifiering av domänägarskap har gått ut (kunden svarade troligtvis inte inom 6 dagar). HTTPS aktiveras inte på din domän. *
	Begäran om verifiering av domänägarskap avvisades av kunden. HTTPS aktiveras inte på din domän. *
3 Etablering av certifikat	Certifikatutfärdaren håller på att utfärda det certifikat som krävs för att aktivera HTTPS på din domän.
	Certifikatet har utfärdats och håller på att distribueras till CDN-nätverket. Det kan ta upp till 6 timmar.
	Certifikatet har distribuerats till CDN-nätverket.
4 Slutfört	HTTPS har aktiverats på din domän.

* Det här meddelandet visas bara om ett fel har uppstått.

Om det uppstår ett fel innan begäran har skickats visas följande felmeddelande:


We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Rensa resurser – inaktivera HTTPS

I det här avsnittet får du lära dig hur du inaktiverar HTTPS för din anpassade domän.

Inaktivera HTTPS-funktionen

I Azure Portaldu efter och väljer CDN profilerna.
Välj din Azure CDN Standard från Microsoft, Azure CDN Standard från Verizon eller välj Azure CDN Premium från Verizon.
I listan över slutpunkter väljer du slutpunkten som innehåller din anpassade domän.
Välj den anpassade domän som du vill inaktivera HTTPS för.
Välj Av för att inaktivera HTTPS och välj sedan Tillämpa.

Vänta på spridning

När HTTPS-funktionen för den anpassade domänen har inaktiverats kan det ta upp till 6–8 timmar innan ändringen börjar gälla. När processen är klar ändras den anpassade HTTPS-statusen i Azure Portal till Inaktiverad. De tre åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen använder inte längre HTTPS.

Dialogrutan Inaktivera HTTPS

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du inaktiverar HTTPS. När du har inaktiverat HTTPS visas tre åtgärdssteg i dialogrutan anpassad domän. När ett steg blir aktivt visas information under steget. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdsförlopp	Åtgärdsinformation
1 Skicka begäran	Begäran skickas
2 Avetablering av certifikat	Tar bort certifikat
3 Slutfört	Certifikatet har tagits bort

Vanliga frågor och svar

Vem är certifikatleverantör och vilken typ av certifikat används?

Ett dedikerat certifikat som tillhandahålls av Digicert används för din anpassade domän för:
- Azure CDN från Verizon
- Azure CDN från Microsoft
Använder du IP-baserad eller SNI-baserad TLS/SSL?

Både Azure CDN från Verizon och Azure CDN Standard från Microsoft använder SNI-baserad TLS/SSL.
Vad händer om jag inte får domänverifieringsmeddelandet från DigiCert?

Om du inte använder underdomänen cdnverify och din CNAME-post är för slutpunktens värdnamn får du inget e-postmeddelande om domänverifiering.

Verifieringen sker i så fall automatiskt. Om du inte har en CNAME-post och inte har fått något e-postmeddelande inom 24 timmar kontaktar du Microsoft-supporten.
Är det mindre säkert att använda ett SAN-certifikat än att använda ett dedikerat certifikat?

Ett SAN-certifikat följer samma standarder för kryptering och säkerhet som ett dedikerat certifikat. Alla utfärdade TLS/SSL-certifikat använder SHA-256 för förbättrad serversäkerhet.
Behöver jag en CAA-post (Certificate Authority Authorization) med DNS-leverantören?

Auktoriseringspost för certifikatutfärdare krävs inte för närvarande. Men om du har en sådan måste den innehålla DigiCert som en giltig certifikatutfärdare.
Den 20 juni 2018 började Azure CDN Verizon att använda ett dedikerat certifikat med SNI TLS/SSL som standard. Vad händer med mina befintliga anpassade domäner som använder SAN-certifikat (Alternativt namn för certifikat) och IP-baserad TLS/SSL?

Dina befintliga domäner kommer gradvis att migreras till ett enskilt certifikat under de kommande månaderna om Microsoft i sina analyser ser att det bara görs SNI-klientförfrågningar till ditt program.

Om icke-SNI-klienter identifieras finns domänerna kvar i SAN-certifikatet med IP-baserad TLS/SSL. Begäranden till tjänsten eller klienter som inte är SNI påverkas inte.
Hur fungerar certifikatförnyelse med Bring Your Own Certificate?

För att säkerställa att ett nyare certifikat distribueras till PoP-infrastrukturen laddar du upp ditt nya certifikat till Azure KeyVault. I TLS-inställningarna på Azure CDN väljer du den senaste certifikatversionen och sedan Spara. Azure CDN sedan det nya uppdaterade certifikatet.
Måste jag återaktivera HTTPS när slutpunkten har startats om?

Ja. Om du använder Azure CDN från Akamai måste du återaktivera HTTPS-inställningen om inställningen var aktiv tidigare om slutpunkten stoppas och startas om.

Nästa steg

I den här självstudiekursen lärde du dig att:

Aktivera HTTPS-protokollet på din anpassade domän.
Använda ett CDN-hanterat certifikat
Använda ditt eget certifikat
Verifiera domänen.
Inaktivera HTTPS-protokollet på din anpassade domän.

Gå vidare till nästa kurs om du vill lära dig hur du konfigurerar cachelagring på en CDN-slutpunkt.

Självstudie: Konfigurera Azures CDN-cachelagringsregler

Självstudiekurs: Konfigurera HTTPS på en anpassad Azure CDN-domän

Betygsätta din upplevelse

Förutsättningar

TLS/SSL-certifikat

Verifiera domänen

Den anpassade domänen har mappats till CDN-slutpunkten med en CNAME-post

Den anpassade domänen mappas inte till din CDN slutpunkt

Vänta på spridning

Åtgärdsförlopp

Rensa resurser – inaktivera HTTPS

Inaktivera HTTPS-funktionen

Vänta på spridning

Åtgärdsförlopp

Vanliga frågor och svar

Nästa steg